Sdílet prostřednictvím

Důvěrné výpočetní prostředí Azure pro Azure Database for PostgreSQL

Azure Confidential Computing (ACC) umožňuje organizacím bezpečně zpracovávat a spolupracovat na citlivých datech, jako jsou osobní údaje nebo chráněné zdravotní údaje (PHI). ACC poskytuje integrovanou ochranu proti neoprávněnému přístupu zabezpečením dat, která se používají prostřednictvím důvěryhodných spouštěcích prostředí (TEE). Tato ochrana umožňuje zabezpečenou analýzu v reálném čase a strojové učení založené na spolupráci napříč hranicemi organizace.

Pochopení architektury

Azure Database for PostgreSQL podporuje důvěrné výpočetní operace Azure prostřednictvím důvěryhodných spouštěcích prostředí (TEE), což jsou hardwarové izolované oblasti paměti v rámci procesoru. Operační systém, hypervisor a další aplikace nemají přístup k datům zpracovaným uvnitř TEE.

  • Kód běží v prostém textu v rámci TEE, ale zůstává zašifrovaný mimo enklávu.
  • Data je šifrována v klidu, během přenosu a při použití.
  • Operační systém, hypervisor a další aplikace nemají přístup k chráněným datům.

Processors

Důvěrné výpočetní operace Azure ve službě Azure Database for PostgreSQL povolíte tak, že při vytváření nového serveru vyberete podporovanou skladovou položku důvěrného virtuálního počítače. Podporují se pouze procesory AMD SEV-SNP .

Poznámka:

Procesory Intel TDX se v současné době nepodporují pro Azure Database for PostgreSQL.

Skladové položky virtuálního počítače

Skladové položky, které podporují důvěrné výpočetní prostředky Azure (ACC) pro Azure Database for PostgreSQL, jsou:

Název skladové položky Processor vCores Paměť (GiB) Maximální počet vstupně-výstupních operací za sekundu Maximální šířka pásma vstupně-výstupních operací (MB/s)
Dcadsv5 AMD SEV-SNP 2-96 8-384 3750-80000 48-1200
Ecadsv5 AMD SEV-SNP 2-96 16-672 3750-80000 48-1200

Nasazení

Azure Database for PostgreSQL s ACC lze nasadit pomocí různých metod, jako jsou Azure Portal, Azure CLI, šablony ARM, Bicep, Terraform, Azure PowerShell, REST API a další.

V tomto příkladu použijte Azure Portal.

Pomocí následujícího postupu nasaďte server Azure Database for PostgreSQL :

  1. Jako oblast vyberte Spojené arabské emiráty – sever .

    Snímek obrazovky se stránkou Základy nasazení portálu Azure Confidential Computing

  2. V části Výpočty a úložiště vyberte Konfigurovat server.

    Snímek obrazovky stránky nasazení výpočetních a úložných prostředků na portálu Azure Confidential Computing

  3. Na kartě Výpočty a úložiště vyberte výpočetní úroveň a výpočetní procesor.

    Snímek obrazovky se stránkou Výpočetní úroveň a procesor nasazení na portálu Azure Confidential Computing

  4. Vyberte Velikost výpočetních prostředků a vyberte důvěrný výpočetní SKU a velikost podle vašich potřeb.

    Snímek obrazovky se stránkou Výpočetní úroveň a velikost nasazení na portálu Azure Confidential Computing

  5. Nasaďte server.

Compare

Pojďme porovnat virtuální počítače Azure Confidential Compute a Důvěrné výpočetní prostředí Azure.

Vlastnost Důvěrné výpočetní virtuální počítače Řešení ACC pro databázi Azure pro PostgreSQL
Kořen důvěryhodnosti hardwaru Ano Ano
Ověřené spuštění Ano Ano
Izolace paměti a šifrování Ano Ano
Zabezpečená správa klíčů Ano Ano
Vzdálené dosvědčení Ano Ne

Omezení a úvahy

Před nasazením v produkčním prostředí pečlivě vyhodnoťte omezení.

  • Důvěrné výpočetní operace jsou k dispozici pouze v oblastech Spojené arabské emiráty – sever a Západní Evropa.
  • Podporují se pouze procesory AMD SEV-SNP. Procesory Intel TDX nejsou v současné době kompatibilní se službou Azure Database for PostgreSQL.
  • Obnovení k určitému bodu v čase (PITR) z nekonfidentálních výpočetních verzí na důvěrné verze není povolené.

Související obsah

  • Last updated on